В ст. 3 ФЗ-152 указано, что трансграничная передача персональных данных ― это пересылка личных сведений гражданина на территорию другого государства, в том числе органам власти, зарубежному физическому или юрлицу.
К этой категории не относится:
- обмен сведениями по кадрам между компанией из РФ и ее представительством в другой стране;
- обработка информации о субъекте из России непосредственно в РФ зарубежной компанией.
Тогда что относится к трансграничной передаче персональных данных?
Приведем два примера:
- Турагент направляет список россиян в египетский отель, чтобы забронировать номера.
- Самозанятый копирайтер принимает заказ на написание текстов о сотрудниках компании и перепоручает работу задачу фрилансеру из Казахстана. Чтобы ему было понятнее, с чем работать ― он отправляет личные данные сотрудников фрилансеру.
Еще один неочевидный, но достаточно популярный случай ― использование зарубежного ПО в деятельности. Например, WhatsApp всегда информирует в соглашении пользователей о том, что осуществляет обмен их данными с головной компанией, которая находится в другой стране. Но многие иностранные владельцы ПО об этом не говорят, а просто тихо пересылают сведения на иностранные серверы.
Компания-оператор и иностранный контрагент ответственны перед субъектом из РФ за то, что его личные сведения будут защищены при передаче зарубежному физическому или юрлицу. Если оператор передает личные сведения юридическому или физлицу из РФ ― за их сохранность ответственен только он. Для пересылки личных сведений сотрудника компания должна взять от него согласие на трансграничную передачу персональных данных.
Согласие на трансграничную передачу персональных данных ―
скачать.